Neuer Standard für Kreditkarten-Daten tritt in Kraft

2004 haben sich mit American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International die US-Schwergewichte unter den Kreditkartenunternehmen mit PCI DSS (Payment Card Industrie Data Security Standard) auf einen allgemein verbindlichen Standard geeinigt.

Ab dem 30. September 2007 soll dieser Industriestandard nun in Kraft treten. Alle Unternehmen, die in irgend einer Weise mit Kreditkartenzahlungen zu tun haben, müssen ab dann die strengen Standards umsetzen.

Die saloppe Umschreibung ‘Digital Dozen’ für den Standard leitet sich aus den zwölf Anforderungen des Standards ab. Hier wird unter anderem gefordert, dass eine Firewall installiert und gepflegt wird, um die Daten über Kartenbesitzer vor unerlaubtem Zugriff zu schützen. Zudem sollten keine voreingestellten Passwörter verwendet werden. Auch gespeicherte Daten müssten geschützt werden. Werden Kreditinformationen über ein öffentliches Netzwerk geschickt, müssen die Daten verschlüsselt werden. Alle Personen, die Zugriff auf die Daten haben, müssen eine eindeutige Identifikation besitzen. Des Weiteren müsse auch der physische Zugriff auf die Daten verhindert werden. Zudem schreibt PCI DSS vor, dass regelmäßige Tests und Pflegemaßnahmen durchgeführt werden müssen.

Vorfälle wie etwa der vom Januar 2007 bei TJX Companies, bei dem in eine Datenbank mit rund 45 Millionen Kartennummern eingebrochen wurde, sollen so künftig zu verhindert werden.

“Große Einzelhändler sind jedoch nicht die einzigen Opfer”, erklärt das Unternehmen GFI, das eine schlanke Compliance-Lösung für den Standard PCI DSS anbietet, in einem Whitepaper. Immer öfter würden sich Hacker auch auf kleinen e-Commerce-Web-Seiten einschleichen. Hier könnten zwar nicht im großen Umfang Daten gewonnen werden, jedoch seien diese Organisationen aufgrund niedrigerer Sicherheitsvorkehrungen für die Kriminellen leichte Ziele.